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摘 要 : 为 了 提高 功 耗 分 析 攻 击 效率 ， 嗓 声 影响 ， 研 究 了 小 波 变 换 去 噪 对 功 耗 攻击 的 影响 以 及 相关 功 耗 分 析 攻 
击 《correlation power analysis，CPA) es 提出 使 用 平移 不 变量 小 波 法 与 小 波 模 极 大 值 法 
对 功 耗 曲线 进行 去 骂 预 处 理 ， 该 方法 使 用 卡尔 曼 滤 疲 法 、 小 波 模 极 大 值 法 与 平移 不 变量 小 波 法 对 功 耗 曲线 进行 去 品 
预 处 理 ， 再 对 原始 数据 及 去 噪 后 数据 分 别 进行 CPA。 实 验 结 果 显示 ,与 原始 数据 相 比 ， 使 用 平移 不 变量 小 波 法 改进 
的 CPA 相关 系数 比 仅 使 用 CPA 分 析 提 高 了 165%， 比 卡尔 曼 滤波 法 提高 31.4%， 比 小 波 模 极 大 值 法 相关 系数 提高 
26.4%， 同 时 攻击 成 功 所 需要 的 功 耗 曲线 减少 了 92%。 实 验 结果 表明 的 使 用 平移 不 变量 小 波 法 改进 的 相关 功 耗 分 析 
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Research and implementation of correlation power analysis based on Wavelet transform 
Duan Xiaoyi, Chen Dong, Gaoxianwei, Fan Xiaohong, Jin Jifang 


(Dept. of Electronic Information Engineering, Beijing Electronics Science & Technology Institute, Beijing 100070, China) 


Abstract: In order to improve the efficiency of power analysis attack and reduce the influence of noise, this paper studied 
the influence of wavelet transform denoising on power attack and the correlation coefficient between Correlation Power 
Analysis and attack effect. For the purpose of denoiseing the power consumption curve variable, this paper used wavelet 


method and the wavelet modulus maximum method. The method included the Kalman filter method, the wavelet modulus 
maximum method and the translation invariant wavelet method. Then the denoised original data are respectively subjected 
to CPA. Simulation experiments show that compared with the original data, the improved CPA correlation coefficient using 
the translation invariant wavelet method is 165% higher than using original CPA analysis, 31.4% higher than the Kalman 
filter method, 26.4% high than the wavelet modulus maximum method. Also the power curve required for successful attack 
is reduced by 92%. The experimental results show that the improved power analysis using the translation invariant wavelet 
method has the best effect. 

Key words: power analysis; translation invariant Wavelet method; the Wavelet modulus maxima method; crypto chip 


0 ”引言 高 攻击 成 功率 。 目 前 对 抑制 噪声 的 方法 大 多 是 通过 增加 功 耗 
曲线 样本 数量 ， 但 实际 攻击 中 功 耗 曲 线 样本 数量 的 获取 又 是 
时 间 分 析 技 术 吓 的 提出 标志 着 侧 信道 信 攻 击 技术 诞生 ， 有 限 的 ， 所 以 无 限制 的 增加 使 用 功 耗 曲线 数量 是 行 不 通 的 。 
差分 功 耗 分 析 (differential power analysis, DPA) 与 简单 功 耗 分 因此 ， 在 功 耗 曲线 样本 数量 有 限 的 条 件 下 ， 最 大 程度 的 减少 
析 (Simple Power Analysis，SPA) 叫 的 提出 使 侧 信道 攻击 的 研 。” 采样 功 耗 信号 中 的 噪声 干扰 成 为 功 耗 分 析 研 究 中 的 重点 。 


dt 


究 进入 了 一 个 新 的 时 代 。 此 后 各 种 的 攻击 方法 与 防御 策略 层 功 耗 分 析 中 常见 的 功 耗 曲线 预 处 理 方法 有 卡尔 曼 滤 波 法 
出 不 穷 , 如 相关 功 耗 分 析 (CPA) BI、 多 通道 分 析 方 法 (multi 1 、 主 成 分 分 析 法 02 闵可夫 斯 基 距 离 法 (Minkowski distance ) 


channel analysis，MCA ) 四、 高 阶 差分 功 耗 分 析 中 、 模 板 攻 击 5 和 改进 奇异 值 分 解法 6 等。 但 卡尔 曼 滤 波 必须 用 到 无 限 过 
(template attack，TA ) [9 等， 这 些 攻击 方法 的 出 现 不 断 推动 ”去 的 数据 ;， 主 成 分 分 析 法 需要 通过 获得 自 相关 矩阵 来 完成 特 
着 侧 信道 攻击 与 防御 对 策 的 不 断 发 展 ， 如 加 入 随机 掩 码 53 征 向 量 和 特征 值 的 求解 ， 且 该 过 程 对 于 正常 的 计算 设备 来 说 
加 随机 噪声 外 等 。 涉及 到 的 计算 复杂 度 和 存储 空间 过 于 庞大 ， 耗 时 长 ， 闵 可 夫 

研究 发 现 噪声 对 功 耗 分 析 的 攻击 效率 影响 很 大 , 文献 [10] ”斯 基 距 离 法 虽 计 算 简单 但 没有 考虑 各 个 分 量 的 差异 化 ， 改 i 
主要 介绍 了 在 含有 大 量 噪声 的 功 耗 曲 线 中 如 何 分 析出 密 钥 的 。 奇异 值 分 解法 的 难点 在 于 奇异 值 数 目的 选取 ， 这 些 都 大 大 PF 
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Ds 


和 马 | 


方法 。 功 耗 信 号 中 的 噪声 来 源 通常 包括 周围 电子 设备 辐射 、 制 了 它们 在 功 耗 曲 线 抑 制 噪声 的 应 用 。 但 小 波 分 析 05 能 根据 
传输 介质 与 人 为 加 入 随机 噪声 等 ， 而 功 耗 分 析 的 密 钥 获取 是 信号 局 部 区 域 的 不 同 特性 变换 时 频 分 辨 率 ， 即 对 低频 长 时 信 
基于 采集 的 功 耗 信 号 ， 真 实 功 耗 信号 的 信 噪 比 很 大 程度 上 影 号 具有 高 的 频率 分 辨 率 和 低 的 时 间 分 辨 率 ， 而 对 高 频 短 时 信 
响 了 分 析 密 钥 的 成 功率 ， 所 以 去 除 功 耗 曲线 中 的 噪声 能 够 提 号 具有 低 的 频率 分 辩 率 和 高 的 时 间 分 辨 率 。 这 种 变焦 特性 使 
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录用 定稿 级 晓 玫 ， 


得 小 波 变换 对 非 平 稳 信 号 具有 很 强 的 自 适 应 性 ， 所 以 基于 小 
波 分 析 抑 制 噪声 的 效果 优异 ， 它 能 有 效 分 离 信号 和 噪声 ， 提 


高 信 噪 比 。 因 此 本 文 将 基于 小 波 分 析 中 的 平移 不 变量 小 波 法 
与 小 波 模 极 大 值 法 59 应 用 到 功 耗 曲 线 的 预 处 理 中 ， 以 达到 提 
升 功 耗 分 析 效 率 的 目的 。 
1 ” 功 耗 曲线 能 量 模 型 及 功 耗 分 析 原 理 
1.1 功 耗 曲线 能 量 模型 

功 耗 分 析 中 能 被 攻击 者 所 利用 的 能 量 消耗 2 是 来 源 于 


该 加 密 设备 所 处 理 的 数据 与 执行 的 操作 ， 而 电子 噪声 分 量 与 


恒定 分 量 是 实际 采集 的 功 耗 曲线 中 不 可 忽视 的 两 个 能 量 分 量 。 


允 此 对 于 功 耗 曲线 中 的 单个 采样 点 的 总 的 能 量 消耗 一 般 由 以 
上 四 个 分 量 组 成 ， 如 公式 (1) 所 示 。 


Po = PP, ey (1 ) 


const 代表 操作 分 量 、 数 据 分 量 、 噪 


其 中 ; PB， 、Piw 、 Pw 与 丸 


噶 


声 分 量 与 常量 分 量 且 它 们 相互 独立 。 Rs、 Ps、 Ro 是 对 攻 
击 者 来 说 最 重要 的 信息 分 量 ， 而 Ro ,分 量 不 包含 任何 攻击 者 
能 利用 的 信息 ， 所 以 与 功 耗 分 析 无 关 。 且 攻击 者 仅仅 能 够 通 
过 分 析 Rs 和 RB 来 获得 密 钥 信 息 ， 但 随 着 噪声 分 量 Po 的 增 


大 会 使 攻击 变 得 更 加 困难 。 为 了 i 步 明确 功 耗 曲线 能 量 本 
型 中 的 能 量 分 量 ， 用 Ks 代表 攻击 者 可 利用 的 能 量 消耗 分 量 ; 
信 品 比 ( SNR ) 定 义 为 实际 采集 的 信号 分 量 和 噪声 分 量 的 比 。 
在 功 耗 分 析 中 ， 信 噪 比 公式 如 式 〈2) 所 示 。 


到 


Var(Rs) 量化 了 攻击 者 可 利用 的 信号 造成 功 耗 曲 线 中 点 
变化 的 大 小 ，YVar(Ru) 则 量化 了 由 噪声 导致 的 该 点 的 变化 大 


小 ， SR 越 高 ， 从 噪声 中 识别 出 & 就 越 容 易 。 


1.2 相关 功 耗 分 析 原 理 

密码 芯片 在 运行 加 密 或 解密 算法 的 过 程 中 会 伴随 着 能 
的 消耗 。 而 对 于 寄存 器 中 的 触发 器 来 说 所 处 理 的 数据 与 能 
消耗 的 多 少 是 有 某 种 直接 联系 。 这 种 关系 在 操作 数 层面 
为 执行 指令 前 后 数据 的 汉 明 重量 或 汉 明 距离 ， 寄 存 器 层 务 
寄存 器 中 触发 器 的 0、1 状态 的 翻转 ， 在 CMOS 门 电路 层 
为 负载 电容 的 充 放 电 。 所 以 ， 能 利用 执行 指令 前 后 数据 的 ; 
明 重 量 或 汉 明 距离 来 分 析 密 码 芯 片 数据 处 理 过 程 中 的 能 量 消 
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正确 密 钥 假设 对 应 的 尖峰 


-01 J 也 于 1 
0 2000 4000 6000 8000 10000 12000 
(a) 正确 密 钥 假设 CPA 攻 击 结果 

新 (a) The correct key assumes the CPA attack result 
T T T T T 


-01 1 h | 1 | 
0 2000 4000 6000 8000 10000 12000 
采样 点 
(b) 错误 密 钥 假设 CPA 攻 击 结果 
(b) The wrong key assumes the CPA attack result 


图 1 CPA 攻击 结果 
Fig. 1 Result of CPA 


2 ”相关 功 耗 分 析 


相关 功 耗 分 析 是 计算 假设 功 耗 矩阵 #H 和 实测 功 耗 矩阵 
7 的 列 之 间 的 线性 相关 系数 ， 通 过 出 现在 相关 系数 矩阵 2 中 


的 尖峰 可 以 分 析出 被 攻击 密码 芯片 所 使 用 过 的 密 钥 。 但 在 实 
际 的 工程 应 用 中 ， 由 于 有 噪声 干扰 的 存在 尤其 是 人 为 加 入 噪 
声 ， 使 得 攻击 结果 的 尖峰 相关 系数 相当 小 的 ， 进 而 影响 到 攻 
击 成 功率 。 

根据 式 (3) 对 单个 采样 点 的 能 量 消耗 进行 建 模 , 即 用 Ra 
eh ed de 


示 预 测 的 能 量 消耗 值 。 于 是 得 到 式 ( 
T= .Pi (6) 


已， 替换 公式 (5) 中 的 7j 得 式 (7) 。 


E(H x Pas)—E(H)xE(Poa) 
VVar(H)x Var(P,a) 07) 
] Pp(H, Poa) 表示 计算 二 者 相关 性 的 大 小 ， 将 其 展开 计算 


p(H, Pua) 


耗 情况 。 功 耗 分 析 攻 击 的 原理 是 通过 执行 加 密 或 解密 数据 与 
加 密 蕊 片 功 耗 之 间 的 相关 性 来 获取 密 钥 。 而 相关 功 耗 分 析 主 


要 是 利用 实际 测量 的 加 密 能 量 消耗 与 估计 的 加 密 中 间 数 据 的 
汉 明 距离 或 汉 明 重量 的 相关 性 来 进行 密 钥 分 析 。 
目 


在 实际 工程 应 用 中 ， 首 先 采 集 固定 密 钥 加 密 或 解密 N 条 
明文 的 功 耗 曲线 ， 功 耗 曲线 的 采样 点 为 M ， 于 是 得 到 一 个 
NxM 维 的 实测 功 耗 矩阵 7; 利用 子 密 钥 计算 来 估计 出 入 
个 样本 执行 同一 操作 时 的 汉 明 重量 和 汉 明 距离 ， 于 是 得 到 一 
个 Nxl1 维 的 假设 功 耗 矩阵 五 ;7 为 实测 功 耗 矩 阵 7T 的 第 j 列 ， 
最 后 计算 矩阵 Tj 与 矩阵 五 的 相关 性 系数 ， 计 算 公 式 如 (5) 
所 示 。 


E(H xT,)-E(H)xE(T,) 
a Vartt) 0) 

BC) 及 ECD 分 别 表示 计算 它们 的 数学 期 望 ，Var(7) 及 
Var(H) 分 别 表示 计算 各 自 的 协 方差 , 相关 系数 的 结果 矩阵 ， 
Pp 越 大 它们 的 相关 程度 越 大 。 正 确 的 子 密 钥 如 对 应 的 相关 功 
耗 曲线 会 出 现 明显 的 尖峰 如 图 1 (a) 所 示 ， 错 误 的 子 密 钥 则 
无 明显 尖峰 如 图 1 C(b) 所 示 。 


p(H,T,) = 


如 式 (8) 所 示 。 
PH, Piwa) = Pp(H, Poxp + Pownoise + Punoise + Poons) (8) 
由 于 Puw 是 恒定 的 常量 分 量 ， 不 会 影响 到 二 者 的 相关 系 
数 ， 而 噪声 分 量 Ris = Rwose + Riwone 在 统计 上 与 Pow 独立 ， 所 以 
继续 化 简 得 式 (9) 。 
pH, Fa)=p(H, Fs + Pvnoise 十 Toise 十 Ens) 
=p(H, Py + Ryaoise + Pnoise) (9) 
=p(H, Py + Poise) 


将 式 〈9) 代入 到 式 (5) ， 


得 式 (10) 。 

E(H x (Ps + Pose)—E(H)xE(P, + Poa) 
VVar(H)x (Var(P,,) + Var(Pss)) 

_ E(HxPs, +HxPo)—E(H)x(E(P,) + (Pose) 


Pp(H, Poa)= 


Var(H x Var(Bos ) N+ Coe) (10) 
Var(Ps) 
_ PH,Ry) 
ML+VSNR 


式 〈10) 从 数学 的 角度 描述 了 相关 系数 ?与 SNR 之 间 的 
关系 ,在 汉 明 重量 与 可 利用 的 能 量 消耗 分 量 相关 系数 不 变 时 ， 
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功 耗 曲 线 中 有 


信号 的 SNR 变 大 ，VL+VSNR 变 小 ， 则 相关 系 


数 2 则 会 变 大 ;反之 ，SNVR 变 小 ，VI+VSVR 则 变 大 ， 而 相关 


系数 2 则 会 变 小 ， 当 小 到 一 定 程度 时 就 无 法 找到 相关 系数 对 
应 的 明显 尖峰 ， 这 使 得 攻击 的 难度 大 大 增加 ， 甚 至 导致 攻击 
失败 。 


3 小波 去 噪 原理 
3.1 小 波 分 析 
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上 的 奇异 点 ， 其 变换 结果 几乎 没有 出 现 伪 吉 布 斯 现象 ， 而 位 
于 症 位 置 上 的 奇异 点 ， 则 出 现 了 伪 吉 布 斯 现象 ， 故 可 利用 变 
化 信号 的 排列 位 置 ， 进 而 改变 奇异 点 的 位 置 来 达到 抑制 振荡 
现象 的 产生 的 目的 。 即 采用 人 为 的 移动 ， 将 其 他 位 置 的 奇异 
点 平移 到 nn 位置 ， 达 到 消除 伪 吉 布 斯 现象 产生 的 目的 ， 再 利 
用 逆向 平移 ， 将 排列 的 顺序 恢复 到 与 原始 信号 一 样 ， 实 现 对 
含 噪 信号 去 噪 的 目的 。 其 中 Y 为 信号 长 度 ， 按 照 以 上 分 析 ， 
平移 不 变量 小 波 去 噪 步骤 是 : 首先 循环 平移 含 噪 信号 ， 甚 平 
范围 取 W ， 则 是 完全 平移 含 品 信 号 ;其 次 离散 小 波 变换 每 


书 


pp 


波 分 析 是 分 辨 率 能 自动 匹配 被 分 析 信 号 的 时 频 分 析 方 


多 
次 循环 平移 得 到 的 信号 ， 得 到 不 同 尺 度 上 的 小 波 分 解 系数 ; 
再 通过 小 波 阔 值 法 ， 对 小 波 系数 阔 值 化 处 理 ;， 小 波 重 构 是 对 


法 。 在 分 析 低频 信号 时 会 选择 较 长 的 时 间 窗 口 ， 而 分 析 高 频 
信号 时 会 选择 较 短 的 时 间 窗 口 。 从 而 完美 解决 了 在 实际 工程 
应 用 中 低频 信号 持续 时 间 长 、 高 频 信 号 持续 时 间 短 的 问题 ， 
所 以 享有 “数学 显微镜 ”的 美称 。 小 波 分 析 在 模式 识别 、 轿 
像 处 理 、 数 据 压 缩 、 故 障 诊断 、 语 音 识别 与 信号 处 理 等 领域 
应 用 广泛 。 

对 于 任意 的 函数 f(D) eB2(R) 的 连续 小 波 变 换 为 


W (a Db) =< fos >= la /OW GD 
其 小 波 逆 变换 为 
1 rz rm 1 1 一 已 
人 (12) 


symg 与 coifs 等 母 小 波 ， 称 W(4,b) 为 连续 小 波 变 换 的 结果 。 
3.2 平移 不 变量 小 波 去 噪 

小 波 闵 值 去 噪 凭借 其 计算 过 程 简 单 、 算 法 编程 易 实现 与 
去 噪 效果 优异 等 优点 而 被 广泛 应 用 在 不 同 领域 ， 但 因 容 易 在 


重 构 的 信号 中 的 奇异 点 旁 出 现 伪 吉 布 斯 现象 。 而 采集 的 功 耗 
信息 信号 成 分 复杂 且 含 有 大 量 的 奇异 点 ， 所 以 本 文采 用 平移 
不 变量 小 波 法 对 功 耗 


线 进行 预 处 理 ， 该 方法 能 区 服 小 波 阔 
值 法 导致 的 伪 吉 布 斯 现象 。 

小 波 闵 值 去 噪 思想 ， 在 小 波 各 斥 度 上 将 含 噪 信号 进行 分 
解 ， 首 先 需 要 本 文 设置 一 个 阐 值 ， 将 该 阐 值 与 各 尺度 上 的 小 
波 系 数 相 比 较 ， 大 于 该 闽 值 的 根据 一 定 的 规则 处 理 ， 把 小 于 
该 阔 值 的 小 波 系数 的 置 零 ， 最 后 将 剩 下 的 小 波 系数 通过 小 波 


逆 变换 ， 重 构 得 到 去 噪 后 的 信号 ， 小 波 阔 值 去 噪 流程 如 图 2 
所 示 。 


上 由 


图 2 小波 变 换 去 噪 流程 


Fig.2 Process of wavelet transform 


其 中 称 wy 为 一 个 小 波 基 函 数 或 母 小 波 , 如 常用 的 db11、haar、 


剩 下 的 小 波 系数 进行 道 变换 ， 求 平均 后 的 再 道 循环 平移 ， 得 
到 去 品 信 号， 如 图 3 所 示 。 


图 3 平移 不 变量 小 波 法 去 噪 流 程 
Fig. 3 Process oftranslation invariant wavelet method 
3.3 小 波 模 极 大 值 去 噪 法 
言 号 的 小 波 变换 系数 的 模 极 大 值 反 映 了 此 信和 号 的 奇异 性 


和 峰值 性 。 即 噪声 的 模 极 大 值 点 会 随 尺度 的 增 大 而 减 小 ， 信 
号 的 模 极 大 值 点 会 随 尺 度 的 增 大 而 增 大 。 经 过 处 理 后 的 小 波 
系数 利用 其 在 不 同 分 解 尺 度 上 剩 下 的 模 极 大 值 点 来 重 构 信 号 ， 
这 是 模 极 大 值 去 噪 的 基本 思想 。 
下 面 通过 小 波 变换 来 具体 研究 某 点 的 奇异 性 。 
设 小 波 函 数 为 wl) ， 若 在 点 任意 领域 内 ， 函 数 f(D 在 
任意 尺度 7 内 的 小 波 变换 ， 存 在 一 个 常数 上 满足 如 下 关系 。 
Wf DO|<k(27)® (13) 
则 函数 fQ@ 在 点 处 有 一 致 Lipschitz 指数 105。 将 式 (13) 两 
边 同 时 取 对 数 可 知 小 波 变换 的 模 极 大 值 与 信号 的 Lipschitz 指 
数 有 如 下 关系 。 其 中 j 为 分 解 尺 度 ， 册 ,Jo 表示 FJ 在 2 尺 
度 上 x 轴 某 一 点 小 波 变 换 的 极 大 值 。 对 上 式 两 边 取 对 数 得 
logs IW f (DIS 1logsk + oj (14) 
该 函数 fo 的 李 氏 指数 a<0， 随 尺度 的 不 断 增 大 该 函数 
的 小 波 变换 模 极 大 值 将 减 小 ; 若 李 氏 指 数 a>0， 随 尺度 增 大 
该 函数 的 小 波 变换 模 极 大 值 将 增 大 。 在 奇异 性 方面 信号 和 噪 
声 有 着 十 分 明显 的 区 别 ， 信 号 的 李 氏 指数 是 正 值 ， 而 噪声 具 
有 负 的 李 氏 指数 ， 所 以 二 者 在 小 波 变换 的 不 同 尺 度 上 模 极 大 


平移 不 变量 小 波 法 去 噪 是 在 小 波 阔 值 法 去 噪 的 一 种 改进 ， 


其 核心 思想 是 : 将 信号 通过 循环 平移 后 ， 其 小 波 系数 与 原 信 
号 的 小 波 系 数 间 无 相应 的 平移 关系 。 即 当 信 号 中 位 于 位置 


值 有 明显 不 同 的 变化 规律 ， 模 极 大 值 法 则 是 利用 该 特点 做 多 
次 小 波 变换 之 后 ， 噪 声 成 分 的 模 极 大 值 点 幅 值 就 会 被 去 除 或 
者 变 得 很 微弱 ， 所 剩余 的 极 值 点 大 部 分 是 由 信号 产生 的 ， 用 
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剩余 的 模 极 大 值 来 重 构 信 号 ， 就 获得 了 去 噪 后 信号 ， 去 噪 流 4.2 功 耗 曲线 的 预 处 理 
程 如 图 4 所 示 。 功 耗 曲线 预 处 理 的 目的 是 为 了 抑制 功 耗 曲线 中 不 相关 的 


噪声 ， 提 高 有 用 信号 的 SNR ， 使 相关 功 耗 分 析 结 果 的 相关 系 
数 更 准确 ， 进 而 减少 分 析 所 需 数 据 量 。 本 文 用 示波器 以 
50MHz 采样 频率 采集 固定 密 钥 10000 条 随机 明文 样本 数据 ， 
每 条 功 耗 曲 线 有 25000 个 功 耗 采样 点 。 但 AES 算法 执行 加 密 
操作 这 一 过 程 只 在 前 14000 个 功 耗 采样 点 内 ， 为 了 减少 计算 
量 ， 本 文 只 对 前 16000 个 功 耗 采 样 点 进行 处 理 。 

功 耗 曲 线 中 主要 是 低频 信号 成 分 ， 为 了 更 好 的 分 析 高 频 
信号 部 分 ， 本 文 一 般 对 其 进行 做 了 去 直流 处 理 ， 剩 下 的 即 是 
功 耗 曲线 中 高 频 信 号 ， 最 后 对 其 进行 傅 里 叶 变 换 ， 观 察 高 频 
言 号 中 的 频谱 分 布 。 图 7 (a) (b) 为 原始 功 耗 曲线 及 其 频 
谱 图 ， 通 过 对 图 7 (a) 的 直接 观察 是 无 法 通过 简单 功 耗 分 析 
来 破解 出 密 钥 信息 的 ; 从 图 7 (b) 中 能 直观 地 看 出 在 25 MHz 
以 下 高 频 信号 都 有 分 布 ， 这 说 明 采 集 的 功 耗 数据 中 包含 有 较 
模 极 大 信 多 的 高 斯 白 噪 声 , 而 几 个 幅 值 最 大 对 应 的 频率 是 在 16 MHz、 
8 MHz 与 4MHz 附近 。 


pe 


图 4 小波 模 极 大 值 去 噪 流程 
Fig.4 Process of Wavelet modulus maxima 
4 基于 AES 算法 的 相关 功 耗 分 析 
4.1 功 耗 分 析 平 台 与 衡量 参数 
相关 功 耗 分 析 平台 由 加 密 芯 片 、 数 据 采 集 、 数 据 处 理 三 
部 分 组 成 ， 如 图 5 所 示 。 其 中 加 密 芯 片 本 文选 用 Atmel 


ATMEGA16A 单片机 ， 时 钟 频率 设置 为 4MHz; 数据 采集 部 本 本 机 富生 5 
分 是 由 Tektronix DPO7104 示波器 以 50MHz 采样 频率 采集 Ga) 原 给 功 帮 信号 | 
10000 条 数据 样本 即 〈10000 条 功 耗 曲线 ) ， 每 条 曲线 25000 hd) ta hss s 10 Power consumplion signal 


个 功 耗 采样 点 ; 数据 处 理 是 使 用 Matlab 软件 对 功 耗 曲线 分 别 
进行 卡尔 曼 滤 波 、 小 波 模 极 大 值 法 与 平移 不 变量 法 的 去 噪 预 
处 理 ， 再 对 预 处 理 后 的 功 耗 曲线 用 VC 执行 相关 功 耗 分 析 ， 
其 中 本 文选 取 的 攻击 对 象 为 128 位 AES 算法 第 一 轮 S 盒 输出 
的 字 节 ， 最 后 将 攻击 的 结果 用 Matlab 显示 出 来 。 


PC 机 一 示波器 Ne i 和 
CHI CH2 _GND i 数 频率 /Hz 107 
外 部 触发 信号 (c) 卡尔 曼 去 噪 后 的 功 耗 信号 (d) 卡尔 曼 去 噪 后 信号 的 频谱 图 
(c) Power consumption signal (d) Spectrogram of the signal after 
中 after Kalman denoising Kalman denoising 
图 7 功 耗 曲线 及 其 频谱 图 
Vss ES. GND Fig.7 Power consumption curve and its spectrogram 
We 一 面 仔细 讨论 利用 以 上 三 种 方法 预 处 理 后 的 功 耗 曲线 波 
形 以 及 频谱 图 。 图 7 (c) (d) 为 卡尔 曼 滤 波 后 的 功 耗 曲线 
图 5 ”相关 功 耗 分 析 平 台 及 其 频谱 图 ， 图 7 (c) 与 (a) 相 比 较 ， 功 耗 曲 线 的 幅 值 变 
Fig.5 Correlation power analysis platform 小 ， 而 图 7 (d) 与 (b) 相 比 ， 高 频 信 号 的 频率 成 分 主要 集 
普通 方案 的 CPA 攻击 是 直接 利用 功 耗 曲线 来 执行 分 析 ， 中 在 8MHz 以 内 ， 大 多 数 集中 在 4 MHz 以 内 ,8 MHz 以 外 的 

而 本 文 改进 的 相关 功 耗 分 析 是 将 功 耗 曲线 进行 预 处 理 后 再 执 。 ”频率 成 分 被 滤 掉 。 

行 CPA 攻击 ， 如 图 6 所 示 。 图 8 是 使 用 小 波 模 极 大 值 法 与 平移 不 变量 小 波 法 去 噪 后 
本 执 大 执 的 功 耗 曲线 及 其 频谱 图 。 从 时 域 的 角度 分 析 去 噪 后 的 功 耗 
> 1 全 | 。 线 波形 ， 发 现 图 8 (a) (c) 相 比 图 7 (a) 《ec) ， 功 耗 采样 
功 关 功 ,| ,| 关 点 变 稀 疏 了 ， 这 是 因为 采用 这 两 种 小 波 去 品 法 能 更 好 去 除 信 
. . 号 中 的 噪声 成 分 ， 保 留 有 用 信号 。 从 频 域 的 角度 去 比较 去 吕 
线 分 线 处 分 后 功 耗 数据 中 的 频谱 分 布 情 况 ， 图 8 (b) 与 原始 功 耗 数据 的 

析 理 析 频谱 图 7 (b) 相 比 ， 使 用 小 波 模 极 大 值 法 去 噪 后 的 信和 号 频谱 

Ca) 普通 相关 功 耗 分 析 Cb) 改进 的 相关 功 耗 分 析 主要 集中 在 2.5 MHz 以 内 ， 此 时 功 耗 曲线 中 的 高 斯 白 噪声 几 
(a) General related power (b) Improved related power 乎 已 近 都 被 滤 掉 ， 而 图 7 (d) 中 还 有 大 量 其 他 成 分 的 高 频 噪 
ma 声 ， 说 明 卡尔 曼 滤 波 并 不 彻底 。 图 8 (d) 与 原始 功 耗 数据 的 

图 6 相关 功 耗 分 析 方 案 的 改进 频谱 图 7 (b) 相 比 ， 使 用 平移 不 变量 小 波 法 的 频谱 图 中 高 频 

Fig.6 Improvement of correlation power analysis scheme 成 分 主要 集中 在 在 2.5 MHz 以 内 ， 同 时 其 他 频 域 范围 存在 的 
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高 频 信号 与 图 


域 的 角度 对 三 种 预 处 理 方法 去 品 性 能 
还 需 与 相关 功 耗 分 析 相 结合 ， 


的 好 坏 。 


因此 对 预 处 
关系 数 与 资源 占用 ， 


7 (d) 


里 方法 的 性 能 指标 主要 从 两 方 
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相 比 已 经 将 近 非 常 小 的 值 。 这 只 是 从 频 
行 的 粗略 分 析 ， 最 终 
从 攻击 结果 的 来 衡量 抑制 噪声 


看 去 衡量 : 相 
它们 分 别 从 攻击 效果 与 攻击 效率 的 角度 


对 预 处 理 方法 的 有 效 性 进行 衡量 。 


0 200 4000 8 
(a) 小 波 模 极 


200 4000 6000 B000 1 


数 
(c) 平移 不 变量 小 波 法 去 噪 后 的 功 耗 信号 


(c) Power consumption signal after denoising by 


10000 12000 + 

数 _ 本 

噪 后 的 功 耗 信 号 

(a) Power consumption signal after denoising 
by wavelet modulus maxima 


05 1 pr 3 
频率 /Hz 的 
(b) 小 波 模 极 大 值 法 去 噪 后 信号 的 频谱 图 
(b) Spectrogram of the signal after denoising 
u by wavelet modulus maxima 


频率 /Hz 
Cd) 平移 不 变量 小 波 法 去 噪 后 信号 的 频 六 图 
(d) Spectrogram of the signal after denoising by 
the translation invariant wavelet method 


translation invariant wavelet method 


图 8 


去 噪 后 功 耗 曲线 及 其 频谱 图 


Fig.8 Power consumption curve and spectrum after denoising 
4.3 ”从 攻击 效果 来 衡量 
相关 功 耗 分 析 结 果 的 相关 系数 大 小 直接 影响 攻击 结果 的 


成 功率 。1 


于 功 耗 


线 中 存在 的 噪声 容易 导致 分 析 结果 出 现 


假 峰 (ghost pe 
影响 到 正确 


数据 的 信 噪 比 ， 


密 钥 对 
能 够 将 功 耗 数据 中 


ak) 。 


应 峰值 的 判别 ， 甚 3 
的 噪声 部 分 较 好 的 去 除 ， 提 高 可 利用 功 耗 
那么 正确 密 钥 对 应 的 相关 系数 峰值 与 假 峰会 


妥 峰 越 大 对 攻击 结果 的 干扰 越 大 ， 直 接 
至 导致 攻击 失败 。 如 果 


有 明显 差别 ， 而 当 


它们 的 差距 进一步 拉 大 时 ， 假 峰 的 干扰 就 


能 忽略 不 计 了 。 所 以 本 文 用 正确 密 钥 对 应 的 相关 系数 峰值 大 


作为 衡量 预 处 理 


的 成 功率 。 


方法 的 去 噪 性 能 。 使 
央 功 耗 数 据 中 的 噪声 即 减少 Raise = 已 as 已 mm 
Rs 分 量 ， 则 假 峰 消除 效果 明显 ， 有 利于 提高 相关 功 耗 分 析 


合适 的 预 处 理 方法 


下 面 从 攻击 效果 的 角度 对 比 卡 尔 曼 滤波 法 、 小 波 模 极 大 


值 法 
正确 


与 平移 不 变 
密 钥 对 应 的 
标准 ， 因 为 相关 系数 越 大 ， 


9 是 利用 


120 


钥 ) 执行 相关 : 


品 预 处 理 后 的 


波 、 


线 中 有 大 量 


PR, ， 即 功 耗 | 


线 中 上 


JIL+ISNR 越 大 ， Pp(H 


少 的 原始 功 耗 


小 波 法 这 三 种 预 处 理 方法 的 效果 ， 即 使 用 
目 关 系数 峰值 大 小 作为 抑制 噪声 效果 好 坏 的 


内耗 分 析 的 结果 。 图 
理 的 原始 功 耗 曲线 执行 相关 功 分 析 的 结果 , 而 图 9(b)~ (d) 
则 使 用 卡尔 曼 滤 
120 条 功 耗 
(a) 中 没 出 现 了 
Cd) 则 出 现 了 8 
不 太 明确 ， 对 正确 关 


E 确 密 钥 所 期 望 的 相关 系数 尖峰 ， 图 
有 显 的 尖峰 ， 图 


虹 声 Reuse 和 Rss 存在， 掩盖 了 能 被 利 ) 


SNR 越 高 。 
线 使 用 正确 密 钥 ( 第 16 字 节 密 
9 (a) 利用 120 条 未 经 处 


条 功 耗 


小 波 模 极 大 值 法 与 平移 不 变量 小 波 法 去 
线 执行 的 相关 功 耗 分 析 。 从 图 9 
9 (b) 
9 (c) 虽然 出 现 尖 峰 ， 但 是 
别 有 较 大 干扰 。 由 式 (3) 可 知 ， 功 耗 


言 息 的 。 
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图 9 


图 10 是 利用 400 


120 条 功 耗 
Fig.9 CPA attack result of 1 


1 线 CPA 攻击 结 曙 


20 power consumption curves 


条 功 耗 


线 使 / 


密 钥 ) 执行 相关 功 耗 分 析 的 结 


此 时 正确 密 钥 


出 现 了 非常 明显 的 尖峰 ， 
相关 功 耗 分 析 中 能 抑 于 


说 明 


图 10 


(b) 为 0.45、 图 


平移 不 变量 小 波 法 的 攻击 结果 


10 (c) 


随 着 使 用 功 耗 


1 部 分 噪声 ,得 到 相对 明显 的 攻击 结果 。 
段 设 对 应 的 尖峰 的 相关 系数 图 10(a) 为 0.32， 
10 (d) 为 0.57。 
的 相关 系数 最 大 ， 


为 0.46， 图 


关系 数 提高 


] 正确 密 钥 (第 16 字 节 
果 。 而 图 10 (a) ~(d) 中 都 


线 数量 增多 在 


区 分 度 更 高 ， 


判别 干扰 小 ， 攻 击 结果 更 可 靠 ， 所 以 该 方法 抑制 噪声 效果 最 
好 的 。 小 波 相 比 模 极 大 值 法 相 


23.9%， 相 比 卡 尔 


曼 滤 波 法 相关 系数 提高 26.7%， 相 比 普通 方案 相关 系数 提高 


78.1%。 
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.10 CPA attack 
此 从 攻击 结果 可 以 推出 
的 功 耗 
卡尔 曼 滤 波 法 。 从 图 9 与 10 可 知 噪声 干扰 对 本 文 的 CPA 攻 


击 影响 是 


更 快 和 更 加 准确 ， 这 使 得 利 / 


意义 。 


0 条 功 耗 


溢 没 闪 熙 


线 CPA 攻击 结果 


result of 120 power consumption curves 


当前 条 件 下 使 


不 同 去 噪 方法 
线 的 SNR 大 小 :平移 不 变量 小 波 > 小 波 模 极 大 值 法 > 


分 明显 的 , 除去 噪声 干扰 能 多 


为 了 保证 实验 结果 的 准确 


条 分 别 


信号 
SNR 越 小 则 


的 SNR 较 小 。 由 式 (10) 可 知 


,Rw) 就 会 变 小 。 图 9 实验 结果 表明 | 
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行 相关 功 耗 分 析 是 不 能 猜测 出 正确 密 铀 
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法 预 处 理 后 功 耗 曲线 


使 用 这 三 种 预 处理 


的 CPA 


多 使 本 文 的 CPA 攻击 
小 波 预 处 理 去 干扰 变 得 十 分 有 


性 , 表 1 的 实验 结果 是 对 5 000 


方法 的 功 耗 曲线 执行 相关 功 耗 分 析 
得 到 的 ， 攻 击 对 象 为 AES 算法 128 位 密 钥 字 节 。 
卡尔 曼 滤 波 法 、 小 波 模 极 大 值 法 和 小 波 平移 不 变量 
攻击 效果 明显 优 于 普通 方案 


CPA 攻击 效果 。 小 波 模 极 大 值 法 对 比 卡 尔 曼 滤波 预 处 理 后 的 
CPA 攻击 结果 ， 平 均 每 个 密 钥 字 节 的 相关 系数 比 卡尔 曼 滤 波 


提高 4.2%, 从 实验 结果 来 看 小 波 模 极 大 


线 去 噪 效果 上 略 好 。 


预 处 理 后 


线 的 CPA 攻击 效果 明显 优 卫 


每 个 密 钥 字 节 提高 165%， 对 上 
月 字 节 的 相关 系数 提高 31.4%， 对 比 小 波 模 极 大 值 法 平 


里 技术 去 噪 后 
日 比 普通 方案 的 相关 系 
虑 波 法 平均 每 


均 每 个 密 钥 字 节 的 相关 系数 提高 26.4%。 F 移 不 变量 去 


若干 不 连续 点 和 信 噪 比较 低 的 情况 ， 所 


以 该 方法 能 够 除去 功 耗 信号 中 不 相关 的 噪声 ， 提 高 攻击 成 功 
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4.4 从 攻击 效率 来 衡量 
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中 是 不 存在 完全 


数据 作为 实施 攻击 的 前 
FE 分 析 准 确 度 的 情况 下 于 


样 攻击 
技术 需要 


所 以 这 个 问 


> 使 用 功 耗 


以 攻击 效率 的 角 | 
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Fig. 11 


表 2 相关 系数 与 功 耗 


Table 2 Quantitative relationship between correlation coefficient and 


相关 系数 与 功 耗 曲线 的 关系 


Relationship between correlation coefficient and power 


consumption curve 


1 线 的 数量 关系 


power consumption curve 


密 钥 字 节 原始 数据 卡尔 曼 滤 波 法 小 波 模 极 大 值 法 平移 不 变量 小 波 法 


图 红色 上 


的 相关 系 


线 数量 的 


设 的 相关 系数 从 其 他 的 错误 密 


关 性 中 分 离 出 来 。 


第 16 字 节 来 执行 攻击 。 
线 与 相关 系数 的 关系 ， 利 用 


了 11~ (d) 依 
上 EF 尔 曼 滤 波 、 小 


假设 的 相 


波 模 极 大 值 法 与 小 波 平移 不 变量 法 去 


线 与 相关 


4 相关 系数 随 
的 相关 系数 


要 42 533 
小 波 法 相 
模 极 大 值 法 ; 


条 ， 相 比 
比 卡 尔 曼 
成 少 了 


原来 减少 了 93.1% 的 功 耗 曲线 。 平 移 变量 
虑 波 减 少 了 31.4% 的 功 耗 曲线 ， 相 比 小 波 
26.5% 的 功 耗 | 


0 90 64 60 64 

1 825 356 269 58 

2 1214 231 227 253 

3 907 414 273 397 

4 423 306 160 160 

5 403 79 29 10 

6 1043 261 39 95 

7 5719 123 167 109 

8 1049 419 170 77 

9 2875 814 465 257 

6621 419 261 207 

5095 325 437 247 

8477 323 269 155 

3061 83 46 74 

4498 511 647 736 

233 50 54 22 

42533 4778 3573 2921 
表 2 给 出 的 正确 密 钥 的 相关 系数 区 分 所 有 128 为 位 AES 
算法 密 钥 所 需 的 功 耗 曲线 。 从 表 2 可 知 ,执行 CPA 攻击 分 析 
所 有 128 位 密 钥 所 需 功 耗 曲线 数量 最 少 的 是 使 用 平移 不 变量 
小 波 法 ， 只 需要 2 921 条 ， 而 使 用 未 经 去 噪 的 功 耗 曲线 则 需 


线 。 由 此 可 知 这 三 种 方法 


曲线 利用 率 最 高 
值 大 法 效果 
于 受到 所 获取 的 功 耗 


洛 人 


的 是 平移 才 


:变量 小 波 法 ， 而 小 波 模 极 大 
LE 尔 曼 渡 波 法 。 在 实际 的 工程 应 用 中 ， 由 
线 样本 数量 


的 限制 ， 在 功 耗 曲线 样本 


一 定 的 前 


钥 假 设 导 致 最 高 的 相关 系数 出 
攻击 大 约 需 要 233 条 原始 功 耗 
50 条 经 卡尔 曼 滤波 处 理 
条 经 小 波 模 极 大 值 去 
需要 22 条 经 平移 不 变量 


线 时 ， 正 确 的 密 
比 可 以 认为 一 次 成 功 的 
中 11 (b) 中 大 约 需要 
旭 11 (c) 中 大 约 需要 
图 11 (b) 中 大 约 
曲线。 相 比 使 用 
线 执行 相关 功 


速 破解 加 


十 功 耗 


tb pl MY 
t 


线 进行 去 噪 预 处 理 。 
线 预 处 理 


提 条 件 下 ， 如 何 高 效 利 用 密码 设备 的 功 耗 曲线 来 快 
密 算法 就 显得 尤为 重要 


结束 语 


本 文 提出 使 用 小 波 模 极 大 值 法 与 平移 不 变量 小 波 法 对 功 


效率 都 有 一 定 程度 
的 效果 最 明显 ， 较 大 程度 上 抑 人 


实验 结果 表明 ， 采 用 这 三 种 去 噪 方 
后 ， 相 关 功 耗 分 析 方法 的 攻击 效果 与 攻 
的 提升 。 平 移 不 变量 小 波 法 抑制 噪声 干 
央 假 峰 的 产生 ， 提 高 了 攻击 


广 上 innAviwv 人 个 tt 
人 LnInaxIV 口 类 


录用 定稿 段 晓 裔 ， 等 : 基于 小 波 变 换 去 噪 的 相关 功 耗 分 析 攻 击 研究 与 实现 


精度 , 只 需 原始 功 耗 曲线 数量 的 7% 就 能 成 功 分 析出 所 有 128 
位 密 钥 , 且 每 个 密 钥 字 节 的 相关 系数 相 比 原来 平均 提升 165%， 
所 以 在 相关 功 耗 分 析 中 平移 不 变量 小 波 法 的 去 噪 性 能 最 优 。 
最 后 通过 对 比 ， 平 移 不 变量 小 波 法 在 这 三 种 去 噪 方法 中 的 效 
果 是 最 优 的 。 
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